《小议IP城域网网络安全》由会员分享,可在线阅读,更多相关《小议IP城域网网络安全(7页珍藏版)》请在金锄头文库上搜索。
1、 小议IP城域网网络安全 刘 铎Summary 本文从网络结构上,简要分析目前IP城域网面临的网络安全问题及解决的部分措施。Key 城域网;汇聚层;接入层;网络安全TP309 A 1674-6708(2009)08-0048-02近年来,随着社会信息化进程的加快,企业网络化应用开始向纵深发展,各种新旧业务和应用的需求不断丰富,进而对网络带宽产生更高的需求。目前,骨干网带宽已经比较丰富,宽带接入手段多样化,城域网的安全问题作为为用户服务的根本显得越来越重要。随着宽带互联网业务的发展,在获得了越来越多企业和个人青睐的同时,网内用户数越来越多,用户类型越来越复杂,网络安全问题开始显得日益突出,如何把
2、黑客和病毒等拒之于网外,不让其对城域网的安全造成隐患也成为了急需解决的问题。IP城域网一般分为3个层次:核心层、汇聚层和接入层,其中的各个层次承担了不同的功能。根据不同网络层次的不同功能,每个层次都面临不同的安全问题。核心层主要面临的安全问题是路由的安全及核心层设备自身受攻击的问题;汇聚层主要面临的安全问题是路由的安全、各种异常流量的抑制、用户业务的安全,以及用户访问的控制;接入层主要由一些二层接入设备构成,其主要面临的安全问题是一些基于二层协议的用户攻击行为和广播风暴的抑制等。核心层担负着网络核心承载的功能,所以必须充分保证网络的连通性和高度的可靠性,提供必须的网络冗余功能。在城局网关键的出
3、口链路必须具备冗余设备,多条链路连接同时工作,确保在故障发生能够实现自动愈合,增强对病毒和黑客的防御力量,使整个网络变得更加稳定可靠。另外,核心层设备还要采用一些安全策略,以保障网络的安全可靠,例如:1)网络设备采用多极安全密码体系,限制非法设备和用户登录;2)实现路由认证,保证路由协议安全,支持SNMP,安全网管;采用访问控制列表策略,过滤异常流量,保证设备核心的安全;3)采用如mrtg等流量监控手段,监测异常流量。汇聚层负责汇集分散的接入点进行数据交换,提供流量控制和用户管理功能,作为城域网的业务提供层面,是城域网最重要的组成部分。汇聚层设备是用户管理的基本设备,也是保证城域网承载网和业务
4、安全的基本屏障,更是保障城域网安全性能的关键。汇聚层设备的安全特性主要体现在以下几点:1)用户接入网络的安全控制,包括加强口令等访问控制手段;2)调整BAS的部署策略。进行BAS边缘化,访问控制可以在边缘BAS上进行,如果仍然保持集中方式,可以考虑在BRAS后部署防火墙,可以将原有BAS访问控制功能转移到防火墙后,这样可以降低BAS负载及访问控制列表细化。限制每个VLAN下的用户数量,减少PPP建立过程中广播包的广播范围,提高网络性能,BAS放到边缘后,VLAN ID数目受到的限制问题也得到了缓解。细化的三层访问控制在BAS设备后端的三层设备上进行;3)部署小容量BAS服务器,专线用户的VLA
5、N在城域网汇聚层终结。充分利用宽带接入服务器BAS支持802.1q的特性,来实现对不同用户的服务,减小广播域,提高城域网的整体性能。在用户侧部署中小容量的BAS服务器,可把原来的超大二层网络分成多个小型的二层网络,降低管理的难度和复杂度;将宽带专线用户的VLAN在城域网汇聚层终结,这样可以防止用户的广播包对骨干交换机的冲击。基于LAN的专线用户,通过专线直接连到网络核心,当用户发起广播时,就会使核心网络路由表产生波动,影响核心网络设备的性能,所以建议在汇聚层终结,再把信息上传到核心层;4)利用BAS+AAA验证服务器完成对用户的身份验证, AAA绑定一般采用的都是静态绑定方式,而动态绑定一般是
6、在接入设备上实现的,绑定技术的有效应用,主要用于解决账号盗用,用户定位等问题。通过上述认证机制实现基于用户的访问权限控制、计费和服务类型控制;5)对于DLSAM拨号用户可实现VLAN、端口和用户账号绑定,进而防止个人用户的帐号、密码被盗用,也可确定出用户上网的位置,为问题的解决提供线索;6)支持限制用户端口最大接入IP地址数、PPP会话数、TCP/UDP连接数,有效防止DOS类的攻击;7)支持访问控制列表,禁止部分用户访问或有选择地屏蔽网络服务;8)对用户带宽进行控制。接入层通过各种接入技术和线路资源实现对用户区域的覆盖,提供多业务用户的接入并配合完成用户流量带宽的控制功能。设备上采用的安全手
7、段包括:1)使接入侧用户相互隔离,以保证接入的安全性,防止用户间的相互攻击。由于以太网技术本身的特点,端口隔离的存在是必要的。无论是物理端口还是逻辑端口,现阶段有很多技术都能实现端口隔离功能,有的采用物理手段,有的采用逻辑手段。采用物理手段则能实现完全的隔离功能;逻辑手段一般是基于2层帧结构技术,也比较安全。可以说,端口隔离是目前一种保护接入用户内部安全的有效手段。在接入层隔离开用户之间的访问并不是为了限制用户的使用,而是要防止用户之间的攻击。无论是针对哪种用户,合理而又灵活的利用端口隔离技术总能有效地控制来自内部、外部用户之间的安全问题。2)采用一些端口检测的措施,防止用户环路的发生。很多用
8、户不知道环路带来的危害,所以环路经常发生在缺少专业技术人员维护的网络中。越是接近用户的设备检测周期越应该短一些,上层设备的检测周期应该长一些。这样就能减少一些因为上层设备先检测到环路禁用端口造成下层整个交换机用户都被断掉的可能。在城域网设计、建设和运行维护的各个阶段,都应采取统一的安全技术策略,而各VPN网根据所统一的安全策略和各自不同业务特点,采用相应的安全防范措施和技术手段,以满足城域网全网的整体安全要求以及各专业系统自身的安全需求。城域网的安全保障可考虑采用以下几种技术策略来实施:预防采用认证授权、访问控制和路由隔离等技术,防止外界对城域网网络的各种非法访问,避免入侵者对城域网网络资源的
9、破坏和窜改;采用VPN构建虚拟专用网,为各类用户专用网提供有效隔离。监测通过监控和定期检测等主动防御措施,及时发现城域网在运行中可能存在的各种安全漏洞,进而采取相应措施。调整对各项日志和管理信息进行统计分析,发现问题时,及时对城域网进行修改,消除可能的安全隐患;根据网络安全技术的发展和各项业务新的要求,及时调整城域网全网安全策略的实施。总之,宽带城域网的网络安全是一项艰巨而持久的任务。对网络安全问题必须通盘考虑,进行体系化的整体安全设计和实施。既要充分考虑网络的安全性能,考虑设备防攻击的性能,有效运用设备相关安全特性,又要结合专用的安全产品,采取分区、多层安全保护措施。既要考虑设备安全和技术的
10、因素,又要重视网络安全人员在网络安全方面所起决定性的作用。内蒙古自治区第五届自然科学学术年会开幕2009年11月21日,内蒙古科技馆报告厅座无虚席,来自自治区各大院校、科研院所、有关企业科技工作者、研究生及内蒙古第五届自然科学学术年会获奖论文作者及有关学会代表400人云集在此,参加内蒙古第五届自然科学学术年会开幕式,并聆听专家学者的报告。本届学术年会由内蒙古党委组织部、内蒙古人事厅、内蒙古科技厅、内蒙古科协联合举办。内蒙古政协副主席、内蒙古科协主席牛广明,内蒙古科协党组书记、副主席景建华、内蒙古科技厅副厅长马强,内蒙古科协副主席陈天保以及其他主办单位的相关领导出席开幕式。牛广明发表了致辞,内蒙
11、古科技厅副厅长马强做了内蒙古科技创新发展的报告,东北大学机械工程与自动化学院工业设计研究所所长、中国机械工程学会高级会员、辽宁省机械工程学会机械设计分会秘书长、TRIZ研究会副理事长赵新军教授做了TRIZ发明问题解决理论的专题报告。牛广明主席在致辞中希望科协及所属学会要组织和动员广大科技工作者,树立实现现代化的远大理想,树立民族自尊心和自信心,从个人、局部、眼前利益的束缚中解放出来,从满足于跟踪、模仿、外围打工的桎梏中解放出来,大力加强原始性创新、集成创新和在引进先进技术基础上的消化、吸收、再创新。要努力开创知识前沿的新领域,拥有一批自主知识产权,造就一批具有国际竞争力的人才、企业和品牌,为内
12、蒙古经济社会发展提供强大的科技支撑;希望科技界要抓住并用好本世纪头二十年的重要战略机遇期,投身科技创新的伟大洪流中,以科学发展观为指导,牢固树立和谐、创新、可持续发展的观念,推动内蒙古经济、社会、科技的快速发展;希望同志们大力普及科学知识,推广先进实用技术,为人民造福,为构建和谐内蒙古,创新型内蒙古而努力奋斗。赵新军教授所做的TRIZ发明问题解决理论是世界著名企业应用的解决发明创造问题的最新理论和方法,是目前解决技术难题、实现创新的最有力的工具之一。与其它创新原理或创新技法相比,它应用简单方便,可操作性强,不仅可以直接用于解决工作中遇到的实际问题,还可以打破思维惰性、改变人们分析问题和解决问题
13、的思路,提高人们的创新意识和创造能力。是企业实现创新、研发出满足顾客需求产品的最有效的方法,参加年会的科技人员颇感兴趣。本届年会的主题是:“和谐、创新、发展”。围绕“提高自主创新能力,促进区域和谐发展”主题,大会组委会在全自治区范围内开展征文工作,共征集论文565篇,涉及农牧林水等31个学科,经第五届自然科学学术年会论文评审委员会评审,评选出优秀论文191篇,其中一等奖论文17篇,二等奖论文63篇,三等奖论文111篇。编辑出版了和谐创新发展内蒙古自治区第五届自然科学学术年会优秀论文集。内蒙古生物工程学会、内蒙古电机工程学会、内蒙古医学会、内蒙古口腔医学会等11个直属学会也围绕年会主题开展了形式多样、内容丰富的分会场交流活动。11个直属学会交流论文1 200多篇,参加科技人员约13 000多人,让科技工作者获得了先进的科技信息和知识,促进了相关学科科技进步。实现了“搭建学术平台、推动科学创新、促进人才成长”的目的。内蒙古自然科学学术年会每两年举办一届,为全区广大科技人员提供了一个集中交流思想和施展才华的舞台,已成为内蒙古自治区水平较高、规模较大的学术界盛会。在不断推进科学思想的传播和融合,科技成果的涌现和转化,人才的培养和成长,促进科技人才脱颖而出,推动自治区经济、科技、社会发展方面发挥了积极作用。 -全文完-
